Adobe Güvenlik Bülteni

Ara

Son güncelleme: 8 May 2024

Adobe Acrobat ve Reader için güvenlik güncellemeleri mevcut | APSB24-07

Bülten No	Yayınlandığı Tarih	Öncelik
APSB24-07	13 Şubat 2024	3

Özet

Adobe, Windows ve MacOS’da Adobe Acrobat ve Reader için güvenlik güncellemesi yayınladı. Bu güncelleme, kritik ve önemli güvenlik açıklarını giderir. Güvenlik açığından başarılı bir şekilde yararlanılması, rastgele kod yürütülmesine, uygulamanın hizmet reddine ve bellek sızıntısına neden olabilir.

Etkilenen Sürümler

Ürün	Track	Etkilenen Sürümler	Platform
Acrobat DC	Continuous	23.008.20470 ve önceki sürümler	Windows ve macOS
Acrobat Reader DC	Continuous	23.008.20470 ve önceki sürümler	Windows ve macOS

Acrobat 2020	Classic 2020	20.005.30539 ve önceki sürümler	Windows ve macOS
Acrobat Reader 2020	Classic 2020	20.005.30539 ve önceki sürümler	Windows ve macOS

Acrobat DC ile ilgili sorular için, lütfen Acrobat DC SSS sayfasını adresini ziyaret edin.

Acrobat Reader DC ile ilgili sorular için, lütfen Acrobat Reader DC SSS sayfasını adresini ziyaret edin.

Çözüm

Adobe, kullanıcıların aşağıdaki yönergeleri takip ederek yazılım yüklemelerini en son sürümlere güncellemelerini önermektedir.    

En son ürün sürümleri, aşağıdaki yöntemlerden bir tanesi yoluyla son kullanıcıların kullanımına açıktır:    

Yardım > Güncellemelere Göz At seçerek kullanıcılar ürün yüklemelerini manüel olarak güncelleyebilirler.     
Güncelleme algılandığında kullanıcı aracılığı gerekmeden ürünler otomatik olarak güncellenecektir.     
Acrobat Reader yükleyicisinin tamamı Acrobat Reader İndirme Merkezinden indirilebilir.

IT yöneticileri için (yönetilen ortamlar):     

Yükleyici bağlantıları için spesifik sürüm notları sürümüne başvurun.
AIP-GPO, önyükleyici, SCUP / SCCM (Windows) veya on macOS, Apple Remote Desktop ve SSH gibi tercih ettiğiniz metodoloji ile güncellemeleri yükleyin.

Adobe bu güncellemeleri aşağıdaki öncelik derecelendirmeleriyle sınıflandırır ve kullanıcıların yüklemelerini en yeni sürüme güncellemelerini önerir:    

Ürün	Track	Güncel Sürümler	Platform	Öncelik Derecelendirmesi	Bulunma Durumu
Acrobat DC	Continuous	23.008.20533	Windows ve macOS	3	Sürüm Notları
Acrobat Reader DC	Continuous	23.008.20533	Windows ve macOS	3	Sürüm Notları

Acrobat 2020	Classic 2020	20.005.30574	Windows ve macOS	3	Sürüm Notları
Acrobat Reader 2020	Classic 2020	20.005.30574	Windows  ve macOS	3	Sürüm Notları

Güvenlik Açığı Detayları

Güvenlik Açığı Kategorisi	Güvenlik Açığı Etkisi	Önem Derecesi	CVSS baz skoru	CVSS vektörü	CVE Numarası
Sınır Dışı Yazma (CWE-787)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-20726
Sınır Dışı Yazma (CWE-787)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-20727
Sınır Dışı Yazma (CWE-787)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-20728
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30301
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30303
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30304
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30305
Sınır Dışı Okuma (CWE-125)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-30306
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-20729
Tamsayı Taşması veya Başa Sarma (CWE-190)	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-20730
Use After Free (CWE-416)	Rastgele kod yürütme	Kritik	8.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-20731
After Free (CWE-416) kullanın	Rastgele kod yürütme	Kritik	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-20765
Use After Free (CWE-416)	Bellek sızıntısı	Önemli	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-30302
Uygunsuz Giriş Doğrulaması (CWE-20)	Uygulama hizmet engelleme	Önemli	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H	CVE-2024-20733
Use After Free (CWE-416)	Bellek sızıntısı	Önemli	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-20734
Sınır Dışı Okuma (CWE-125)	Bellek sızıntısı	Önemli	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-20735
Sınır Dışı Okuma (CWE-125)	Bellek sızıntısı	Önemli	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-20736
Sınır Dışı Okuma (CWE-125)	Bellek sızıntısı	Önemli	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-20747
Sınır Dışı Okuma (CWE-125)	Bellek sızıntısı	Önemli	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-20748
Sınır Dışı Okuma (CWE-125)	Bellek sızıntısı	Önemli	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-20749

Teşekkür

Adobe, bu sorunu bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacıya teşekkür eder:   

Cisco Talos (ciscotalos) - CVE-2024-20729, CVE-2024-20730, CVE-2024-20731, CVE-2024-20735, CVE-2024-20747, CVE-2024-20748, CVE-2024-20749
Trend Micro Zero Day Initiative ile anonim çalışma - CVE-2024-20728, CVE-2024-20734, CVE-2024-20736, CVE-2024-20765
Trend Micro Zero Day Initiative ile çalışan Mark Vincent Yason - CVE-2024-30301, CVE-2024-30302, CVE-2024-30303, CVE-2024-30304, CVE-2024-30305, CVE-2024-30306
Zscaler ThreatLabz'den Kai Lu - CVE-2024-20733

Değişiklikler:

2 Mayıs 2024: CVE-2024-30301, CVE-2024-30302, CVE-2024-30303, CVE-2024-30304, CVE-2024-30305 ve CVE-2024-30306 eklendi

28 Şubat 2024: CVE-2024-20765 eklendi

20 Şubat 2024: CVE-2024-20733 için atıf güncellendi

NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.

Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.